Router Teldat Nuevo NAT Doc. DM788 Rev. 10.70 Mayo, 2008
ÍNDICE Capítulo 1 Introducción...1 1. NAT... 2 Capítulo 2 Configuración de NAT...5 1. Configuración de NAT... 6 1.1. [NO] POOL... 6 1.2. [NO] RULE... 7 Capítulo 3 Ejemplos de configuración...11 1. Oficina remota conectada por IPSEC... 12 2. NAT DINÁMICO... 16 - ii -
Capítulo 1 Introducción
1. NAT Dos de los principales problemas que tiene Internet son la escasez de direcciones IP y el creciente tamaño de las tablas de rutas. La facilidad NAT (Network Address Translation) permite a la red IP de una empresa aparentar, de cara al resto de redes IP, que está usando un espacio de direccionamiento distinto al que internamente está usando. Por tanto NAT permite a una empresa que utiliza direcciones privadas (direcciones locales), y que por tanto no son accesibles por tabla de rutas de Internet, conectarse a Internet al convertir dichas direcciones en públicas (direcciones globales) que sí son accesibles desde Internet. NAT además permite a las empresas poner en marcha estrategias de redireccionamiento en las que los cambios en las redes IP locales son mínimos. NAT tiene diversas aplicaciones, siendo algunos escenarios posibles los siguientes: Se quiere tener conectividad con Internet, pero no todos los equipos poseen direcciones IP globales (permitidas). En este caso se configura un router NAT como enlace entre el dominio privado (red local) y el dominio público (red pública: en este caso Internet). El router NAT traduce las direcciones locales en direcciones globales antes de enviar los paquetes al exterior. Una empresa requiere conectividad IP entre oficinas remotas. Dichas oficinas remotas posee redes IP internas que no cumplen con un plan de direccionamiento con lo que las tablas de rutas para lograr conectividad entre ellas es grande o imposible. En este caso sería suficiente con configurar NAT en los routers frontera de cada oficina, realizar así la transformación entre las redes internas de las oficinas a redes globales, que ahora sí cumplen con el plan de direccionamiento. Se necesitan cambiar la direcciones internas de muchos equipos. En lugar de realizar dicho cambio que sería muy costoso en tiempo se podría realizar NAT. Una ventaja muy importante del NAT es que para cambiar la dirección de muchos equipos locales solo requiere realizar cambios en los routers NAT. Las desventajas del NAT aparecen cuando existen muchos equipos que requieren NAT simultáneamente o cuando las aplicaciones de red intercambian referencias a direcciones IP origen o destino: dichas aplicaciones no funcionan si su información viaja a través de un router NAT de forma transparente, en este caso la única solución es que el router NAT analice los paquetes de datos de dicha aplicación, averiguando y cambiando las referencias a direcciones IP locales. Un router NAT tiene al menos un interfaz local (interfaz en contacto con la red local) y un interfaz global (interfaz en contacto con la red global). En un entorno típico, la facilidad NAT se configura en el router frontera entre el dominio stub y el backbone. Cuando un paquete abandona el dominio stub, el router NAT cambia la dirección local origen del paquete por una dirección global. Cuando un paquete entra en el dominio, la dirección destino global del paquete se cambia por la dirección destino local. Un router configurado con NAT no debe anunciar las redes locales a través de los interfaces globales. Sin embargo las rutas globales si pueden ser anunciadas a través de los interfaces locales. Como se ha dicho con anterioridad, el término local representa a aquellas redes que pertenecen a una empresa y que deben ser traducidas. Dentro del dominio local un determinado equipo poseerá una dirección local, mientras que en el exterior aparentará que posee una dirección de otro espacio de direcciones. Por tanto, el primer espacio de direcciones es el local y el segundo espacio de direcciones es el global. Se puede realizar NAT tanto en origen como en destino. ROUTER TELDAT Nuevo NAT Introducción I - 2
NAT en origen. El router NAT reemplaza la IP origen local por una nueva IP global. La operación contraria se realiza sobre la IP destino para los paquetes que atraviesan el router en sentido contrario. NAT en destino. El router NAT reemplaza la IP destino global con una nueva IP destino local. Se suele utilizar para hacer equipos o subredes visible desde Internet. La operación contraria se realiza sobre la IP origen para los paquetes que atraviesan el router en sentido contrario. Tipos de NAT: El sistema AFS soporta dos tipos de NAT, tanto en origen como en destino: - NAT estático En el NAT estático las traslaciones existen en la tabla de NAT tan pronto como se configura la regla en el sistema, y se mantienen hasta que se eliminan de la configuración. Estas traslaciones pueden afectar únicamente a las direcciones IP del paquete o también a los puertos TCP/UDP. Ejemplo: traslación de una red IP a otra: Trasladar todas las direcciones de la red local 138.201.148.0 en la red global 94.64.15.0, siendo la máscara de ambas redes 255.255.255.0. AND 100010101100100110010010 00011011 000000000000000000000000 11111111 (dirección antigua 138.201.148.27) (máscara de red negada) 010111100100000000001111 010111100100000000001111 00011011 (red 94.64.15.0) (dirección nueva 94.64.15.27) Ejemplo: puerto visible: Trasladar los paquetes IP con dirección destino la IP global 1.1.1.1 y puerto TCP 23 en paquetes con destino la IP local 172.24.100.130 y puerto TCP 23. - NAT dinámico En el NAT dinámico las traslaciones no existen en la tabla de NAT hasta que el router recibe tráfico que necesite la traslación. Las traslaciones dinámicas tienen un periodo de vida, después del cual son eliminadas de la tabla de traslaciones. Existen dos tipos de NAT dinámico, el overload y el no-overload. En el modo overload una misma IP local puede mapearse a varias IPs globales cambiando el puerto TCP/UDP asociado, este tipo de NAT se conoce también como PAT. Ejemplo: Regla NAT: enmascarar las direcciones globales de la red 138.201.0.0 tras la dirección global del interfaz externo del router. Para cada paquete saliente la dirección origen del paquete se sustituye por la dirección del interfaz externo del router NAT y el puerto origen se cambia por un puerto NAT no utilizado todavía. ROUTER TELDAT Nuevo NAT Introducción I - 3
Si el destino de los paquetes entrantes es la dirección del interfaz externo del router NAT y el puerto destino corresponde con un puerto NAT ya asignado se cambia dirección y puerto destino por la dirección local y puerto local correspondiente. En el modo no-overload hay una correspondencia unívoca entre una IP local y una IP global, aunque a diferencia del NAT estático dicha correspondencia se decide en tiempo de ejecución conforme va siendo necesaria. Ejemplo: Trasladar dinámicamente todas las direcciones de la red local 138.201.0.0 máscara 255.255.0.0 en direcciones de la red global 278.201.112.0 con máscara 255.255.255.0. El código de internetworking de Teldat, CIT, soportaba estos tres tipos de NAT a través de tres menús distintos, uno para NAT de puertos (ver Dm 735 Facilidad NAPT) otro para NAT dinámico (ver Dm 755 NAT dinámico) y otro para NAT estático (ver Dm 720 Protocolo NAT). Este nuevo NAT sustituye a estos tres subsistemas de NAT, pudiendo realizar los tres tipos de NAT desde un mismo menú. Para poder configurar este nuevo NAT se debe habilitar la facilidad AFS (ver manual Dm 786 AFS), ya que las reglas de NAT se consultan una vez por sesión, no por cada paquete, por lo que el seguimiento de sesiones realizado por el sistema AFS debe estar activo. ROUTER TELDAT Nuevo NAT Introducción I - 4
Capítulo 2 Configuración de NAT
1. Configuración de NAT Para poder acceder a configurar el NAT el sistema AFS debe estar habilitado (ver manual Dm 786 AFS). Una vez habilitado se accede a la configuración a través del menú de configuración IP. Sintaxis: Config>protocol ip -- Internet protocol user configuration -- IP config>nat Si se desea configurar un vrf en particular se debe acceder primero al menú vrf a través del menú de configuración del protocolo IP y después teclear NAT. Por ejemplo para configurar el sistema NAT en el vrf teldat : Ejemplo: Config>protocol ip -- Internet protocol user configuration -- IP config>vrf teldat IP vrf config>nat La configuración del sistema NAT es idéntica para el VRF principal como para los posibles VRFs secundarios, por lo que a partir de ahora se explicará únicamente la configuración del VRF principal. Las opciones que se presentan desde el menú de configuración del sistema NAT son las siguientes:? no pool rule Negate a command or set its defaults Define an ip pool Configure an afs rule 1.1. [NO] POOL Este comando define un pool de direcciones IP que posteriormente puede ser utilizado para hacer NAT dinámico. Sintaxis: POOL <pool-id> ip <ip-min> <ip-max> ROUTER TELDAT Nuevo NAT Configuración II - 6
pool-id ip-min ip-max Identificador del pool. Permite asociarlo posteriormente a una regla de NAT para hacer NAT dinámico. IP más baja del pool. IP más alta del pool. Ejemplo: La siguiente configuración define un pool con identificador 1 y compuesto de tres direcciones IP, la 1.1.1.1, 1.1.1.2 y 1.1.1.3. NAT config >pool 1 ip 1.1.1.1 1.1.1.3 1.2. [NO] RULE Configura reglas de NAT. Una regla es una acción que se ejecutará si el paquete encaja en los criterios de selección asociados a dicha regla. Dichos criterios pueden ser tanto un interfaz de entrada/salida como una lista de acceso. Es importante tener en cuenta que las reglas son recorridas en el orden en el que están configuradas, y cuando un paquete encaja en una regla nat de entrada/salida ya no se procesarán el resto de reglas entrada/salida, realizándose sobre el paquete IP la transformación correspondiente a la primera regla que haya encajado. Sintaxis: RULE <rule-id> <position> [<interface>] [list <list>] <nat-type> rule-id Número de regla, admite valores de 1 a 10000. position Admite una de estas tres posiciones out La regla se comprueba justo antes de que el paquete vaya a salir del router por cualquier interfaz. in La regla se comprueba justo después de recibir un paquete por cualquier interfaz. interface Permite especificar un interfaz para la regla, si la regla es de entrada únicamente se ejecutará si el paquete entra por dicho interfaz y si la regla es de salida únicamente se ejecutará si el paquete sale por dicho interfaz list Permite especificar una lista de acceso. La regla solo se aplicará si el paquete IP encaja en dicha lista de acceso. nat-type Define el tipo de NAT static NAT estático. Las reglas de tipo estático son bidireccionales, es decir, el configurar una regla en salida configura internamente en entrada la regla contraria. Debido a esta bidireccionalidad y para evitar confusiones solo se permite configurar reglas estáticas en salida. dynamic NAT dinámico. dynamic overload NAT dinámico con sobrecarga de direcciones, también conocido como PAT. Dos o más direcciones IP locales pueden ser mapeadas a una misma dirección IP global. ROUTER TELDAT Nuevo NAT Configuración II - 7
Tras definir donde se aplicará la regla y el tipo de NAT se debe definir como se realizará la traslación. La sintáxis cambia según se trate de NAT dinámico o NAT estático. Sintaxis Reglas de tipo NAT dinámico: RULE <rule-id> TRANSLATION [source destination] address IP address or IP network gre-id Define a gre id range http Http specific NAT options icmp-id Define an icmp id range interface Use an interface unnumbered address to do nat pool Use a nat pool tcp Define a tcp port range udp Define an udp port range rule-id Número de regla, admite valores de 1 a 10000. source Indica que el NAT se debe realizar sobre la IP/puerto origen. destination Indica que el NAT se debe realizar sobre la IP/puerto destino. address Especifica una IP o una red IP globales a las que mapear la dirección local del paquete, si dicho paquete encaja con los criterios de selección de la regla. gre-id Especifica un rango de identificadores GRE globales que serán utilizados para mapear los identificadores GRE locales. http force-identity-encoding Las peticiones salientes de http son modificadas para aceptar únicamente respuesta sin ningún tipo de compresión. Es útil si se quiere filtrar el tráfico web por contenido, ya que si este viene comprimido dicho contenido es inaccesible. icmp-id Especifica un rango de identificadores ICMP globales que serán utilizados para mapear los identificadores ICMP locales. interface La dirección global utilizada para realizar la traslación será la dirección IP asignada al interfaz especificado. pool Define un pool de direcciones globales para utilizar en la traslación. tcp Especifica un rango de puertos TCP globales que serán utilizados para mapear los puertos TCP locales. udp Especifica un rango de puertos UDP globales que serán utilizados para mapear los puertos UDP locales. Sintaxis: Reglas de tipo NAT estático: RULE <rule-id> TRANSLATION SOURCE <local-ip> <global-ip> network <local-net> <global-net> <mask> tcp TCP visible port udp UDP visible port <rule-id> Número de regla, admite valores de 1 a 10000. ROUTER TELDAT Nuevo NAT Configuración II - 8
<local-ip> <global-ip> Permite especificar la dirección IP local origen que será cambiada por la ip global especificada a continuación. Como ip global se permite especificar un interfaz, tomando entonces la IP principal de dicho interfaz como ip global. network <local-network> <global-network> <network-mask> Permite especificar una red IP local, todas las direcciones IP con origen dicha red local serán mapeadas a la red especificada mediante el parámetro global-network. tcp <local-ip> <local-port> <global-ip> <global-port> Indica que un puerto TCP y una IP local deben ser mapeados al puerto TCP e ip global especificados. Este comando se utiliza para configurar puertos visibles TCP. Como ip global se permite especificar un interfaz, tomando entonces la ip principal de dicho interfaz como ip global. udp <local-ip> <local-port> <global-ip> <global-port> Indica que un puerto UDP y una IP local deben ser mapeados al puerto UDP e ip global especificados. Este comando se utiliza para configurar puertos visibles UDP. Como ip global se permite especificar un interfaz, tomando entonces la ip principal de dicho interfaz como ip global. Ejemplo 1: Se configura una regla de NAT para mapear la dirección local de todos los paquetes que salgan por el interfaz ppp1 y encajen con la lista de acceso 1 a la dirección global asignada al interfaz ppp1. El tipo de NAT será dynamic overload (PAT). rule 1 out ppp1 list 1 dynamic overload rule 1 translation source interface ppp1 Ejemplo 2: En el ejemplo anterior se desea crear un puerto visible para el telnet, de tal forma que las conexiones TCP dirigidas a la ip global puerto 2323 sean mapeadas a la ip local 172.24.100.131 puerto 23. rule 1 out ppp1 static rule 1 translation source tcp 172.24.100.131 23 ppp1 2323 Ejemplo 3: Se desea mapear estáticamente la dirección IP local 1.1.1.1 a la 2.2.2.2. rule 1 out static rule 1 translation source 1.1.1.1 2.2.2.2 ROUTER TELDAT Nuevo NAT Configuración II - 9
Ejemplo 4: Se desea realizar una traslación de direcciones de las IPs locales al pool de direcciones global compuesto por las 4 direcciones 1.1.1.1, 1.1.1.2, 1.1.1.3 y 1.1.1.4 a todos los paquetes que salgan por el interfaz ppp1 y encajen con la lista de acceso 1. El tipo de NAT será dinámico, pero no se realizará traslación de puertos, solo de direcciones IP. pool 1 ip 1.1.1.1 1.1.1.4 rule 6 out ppp1 list 1 dynamic rule 6 translation source pool 1 ROUTER TELDAT Nuevo NAT Configuración II - 10
Capítulo 3 Ejemplos de configuración
hecho por M.A. Berrojo Teldat Atlas hecho por M.A. Berrojo Teldat Atlas 1. Oficina remota conectada por IPSEC En este ejemplo se describe un escenario típico, una oficina remota que desea tener conectividad con la sede central y disponer de salida propia a Internet. Como interfaz de salida se utiliza un interfaz PPP sobre ATM. La sede central tiene la red 172.24.0.0 255.255.0.0 y la oficina remota tiene la subred IP 172.24.100.128/255.255.255.248. El router de oficina debe encapsular los paquetes IP con destino la red de la sede central en un túnel IPSEC sin realizar ningún tipo de NAT, y a los paquetes con cualquier otro destino les debe realizar NAT tipo dynamic overload (PAT). Así el tráfico entre la oficina y la central irá encapsulado en IPSEC creando una VPN, y el resto del tráfico dirigido a Internet no pasará por la sede central, ahorrando ancho de banda de la central. INTERNET CENTRAL OFFICE IP NETWORK 172.24.0.0/255.255.0.0 BRANCH OFFICE PRIVATE NETWORK 172.24.100.129/255.255.255.248 PUBLIC IP 80.37.189.123 IPSEC TUNNEL DYNAMICALLY ASSIGNED PUBLIC IP PRIVATE IP 172.24.100.129 SSH SERVER IP 172.24.100.131 A continuación se describe la configuración del router de oficina. PPP: El interfaz de salida para la oficina es un interfaz ATM sobre el que se monta PPP. La dirección IP no es fija sino que es asignada por la operadora. Dicho interfaz PPP se utilizará como ruta por defecto. add device ppp 1 network ethernet0/0 -- Ethernet Interface User Configuration -- ip address 172.24.100.129 255.255.255.248 network atm2/0 -- ATM interface configuration -- aal-connection 1 pvc 8 32 pvc 8 32 default network atm2/0.1 ROUTER TELDAT Nuevo NAT Ejemplos III - 12
-- ATM subinterface configuration -- aal-connection-requested 1 default network ppp1 -- Generic PPP User Configuration -- ip address unnumbered ppp -- PPP Configuration -- ipcp local address assigned base-interface -- Base Interface Configuration -- base-interface atm2/0.1 link pppoe -- PPPoE User Configuration -- enable pppoe protocol ip -- Internet protocol user configuration -- internal-ip-address 172.24.100.129 route 0.0.0.0 0.0.0.0 ppp1 classless IPSEC: Se configura un túnel IPSEC con origen la IP pública asignada al interfaz PPP1 y destino la IP pública del router de acceso situado en la oficina central. Se crea una lista de acceso para encapsular en el túnel IPSEC los paquetes con origen la red IP 172.24.100.128/255.255.255.248 destino 172.24.0.0/255.255.0.0 y viceversa. feature access-lists -- Access Lists user configuration -- access-list 101 description "ipsec access-list" entry 1 default entry 1 permit entry 1 source address 172.24.100.128 255.255.255.248 entry 1 destination address 172.24.0.0 255.255.0.0 protocol ip -- Internet protocol user configuration -- ipsec -- IPSec user configuration -- enable assign-access-list 101 template 2 default template 2 dynamic esp tdes md5 ROUTER TELDAT Nuevo NAT Ejemplos III - 13
template 2 source-address ppp1 template 2 destination-address 80.37.189.123 template 2 life duration seconds 23h50m template 2 ipcomp lzs template 2 mtu-default 1100 template 3 default template 3 isakmp tdes sha1 template 3 destination-address 80.37.189.123 template 3 life duration seconds 1d template 3 ike mode aggressive template 3 ike idtype keyid template 3 keepalive dpd map-template 101 2 key preshared ip 80.37.189.123 ciphered 0x1E223C9C4D1703F065040FD4F9D qos-pre-classify NAT: Como salida a internet se utilizará el interfaz PPP1 realizándose PAT con la dirección pública del mismo. Para posibilitar hacer FTPs se cargara el ALG correspondiente en el sistema AFS. Al tráfico encapsulado en IPSEC no se le deberá hacer NAT, la exclusión del tráfico que es cifrado por IPSEC del subsistema NAT la realiza el sistema AFS automáticamente. feature afs alg ftp port 21 enable protocol ip nat rule 1 out ppp1 dynamic overload rule 1 translation source interface ppp1 rule 1 description "NAT to everything but IPSEC" Se desea poder acceder desde internet al servidor SSH situado en la oficina con IP interna 172.24.100.131, por lo que se configura una traslación de NAT estático para habilitar el puerto visible 22: rule 2 out ppp1 static rule 2 translation source tcp 172.24.100.131 22 ppp1 22 En la oficina existen teléfonos IP con protocol SIP, se desea priorizar el tráfico de voz frente al de datos. Para ello se configura un route-map que marque los flujos RTP con un tos dado y se configura una lista de acceso que priorice dicho tos y el puerto 5060 UDP (puerto usado para la señalización SIP). MARCADO: ROUTER TELDAT Nuevo NAT Ejemplos III - 14
feature access-lists -- Access Lists user configuration -- access-list 5000 entry 1 permit entry 1 rtp entry 2 deny feature route-map -- Route maps user configuration -- route-map "mark-rtp" entry 1 default entry 1 permit entry 1 set ip tos-octet 20 network ethernet0/0 ip policy route-map rtp BRS: access-list 103 description "voip brs class" entry 5 default entry 5 permit entry 5 tos-octet 20 entry 1 default entry 1 permit entry 1 destination port-range 5060 5060 entry 1 protocol udp entry 2 default entry 2 permit entry 2 source port-range 5060 5060 entry 2 protocol udp feature bandwidth-reservation -- Bandwidth Reservation user configuration -- network ppp1 enable class local 5 class default 95 class voip 100 real-time access-list 103 voip ROUTER TELDAT Nuevo NAT Ejemplos III - 15
2. NAT DINÁMICO Una empresa dispone de cinco direcciones IP públicas asignadas, la 80.1.1.1, 80.1.1.2, 80.1.1.3, 80.1.1.4 y 80.1.1.5. La primera de ellas la desea utilizar para hacer visible la IP interna 172.24.1.1, y las otras cuatro para realizar NAT dinámico de direcciones sobre el resto de IPs internas. No se desea realizar traslación sobre el número de puerto (PAT). La salida a internet se realiza a través de un interfaz PPP, el interfaz ppp1. Configuración: A continuación se detalle únicamente la configuración referida a NAT y AFS. Se definen dos reglas de NAT, una estática para mapear la dirección IP 172.24.1.1 a la 80.1.1.1 y otra dinámica para mapear el resto de direcciones IP al pool de direcciones. Es importante tener en cuenta que en la lista de acceso asociada al NAT dinámico se ha añadido una entrada para no hacer NAT sobre la IP visible 172.24.1.1. Esto es necesario ya que la regla de NAT dinámico esta configurada antes de la regla estática, por lo que si no se configurase dicha entrada los paquetes con IP origen 172.24.1.1 encajarían en la regla 1 de NAT y se realizaría NAT dinámico sobre ellos. feature afs alg ftp port 21 enable feature access-lists -- Access Lists user configuration -- access-list 102 entry 1 default entry 1 deny entry 1 source address 172.24.1.1 255.255.255.255 entry 2 default entry 2 permit entry 2 source address 172.24.0.0 255.255.0.0 protocol ip nat pool 1 ip 80.1.1.2 80.1.1.5 rule 1 out ppp1 list 102 dynamic rule 1 translation source pool 1 rule 2 out ppp1 static rule 2 translation source 172.24.1.1 80.1.1.1 ROUTER TELDAT Nuevo NAT Ejemplos III - 16